DNS/DNSsec en tant que PKI -------------------------- Cette note analyse l'usage du DNS ou de DNSsec en tant que PKI, plus précisément comme moyen de distribution de clés publiques ou de certificats / CRL (listes de révocation) X.509. Les trois cas intéressants sont : - la distribution de clés publiques par DNSsec ; - la distribution de certificats / CRL par DNS ; - la distribution de certificats racines ou auto-signés par DNSsec. En effet, la distribution de clés publiques uniquement par DNS n'est pas sure et donc pas envisageable. La distribution de clés publiques par DNSsec se heurte à des problèmes d'usage, la plupart des applications ayant plutôt besoin de PKI classiques, càd de certificats X.509 ou similaires. C'est pourquoi le RFC 3445 limite l'usage des enregistrements KEY à DNSsec. Les seules autres applications se satisfaisant de clés publiques «nues» sont SSH et IPsec pour lesquelles des nouveaux types d'enregistrements ont été proposés. Le groupe de travail «ipseckey» a été créé pour spécifier l'enregistrement du même nom, clairement orienté vers des fonctions avancées comme l'«opportunistic encryption». Le dernier draft est draft-ietf-ipseckey-rr-07.txt. Le DNS peut être utilisé directement pour la distribution de certificats / CRL dans des enregistrements CERT (RFC 2538) mais alors il rentre en compétition avec d'autres services d'annuaires comme LDAP qui est probablement plus adapté. L'usage de DNSsec pour la distribution de certificats n'a de sens que quand le certificat ne comporte pas un moyen autonome de validation, càd quand le certificat est un certificat racine, comme dans CADDISC, ou quand le certificat est auto-signé et sans descendant. En fait, ce dernier cas ne peut servir que comme alternative, par exemple pour des raisons de compatibilité, à la distribution directe de clés publiques nues. Sa mise en œuvre serait très proche de CADDISC, DNSsec assurant une méthode supplémentaire de confiance. Références : - RFC 3445 "Limiting the Scope of the KEY Resource Record" - draft-ietf-ipseckey-rr-07.txt "A method for storing IPsec keying material in DNS" - RFC 2538 "Storing Certificates in the Domain Name System"